Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Comment décrypter SSL en utilisant Chrome ou Firefox et Wiresha... - Knowledge Base - Palo Alto Networks

Comment décrypter SSL en utilisant Chrome ou Firefox et Wireshark dans Windows

126169
Created On 10/10/20 05:11 AM - Last Modified 10/16/24 23:55 PM


Objective


Capturez SSL les clés de session à partir de la navigation web cryptée ou d’autres applications Web dans Chrome ou Firefox et utilisez-les pour décrypter les captures de paquets dans Wireshark.

Environment


  • Windows 7 ou Windows 10
  • Chrome 85 ou plus nouveau, ou Firefox 81 ou plus nouveau
  • Wireshark 3.2.7 ou plus nouveau
  • SSL/ TLS sessions à RSA l’aide, DHE ou ECDHE algorithmes d’échange de clés.


Procedure


1. Fermez Chrome ou Firefox complètement. Assurez-vous que toutes les instances sont fermées.

2. Ouvrez le menu Démarrer, et tapez env, sélectionnez « Modifier les variables de l’environnement pour votre compte ».
Ouvert : Modifiez les variables d’environnement de votre compte.

3. Dans la fenêtre « Variables environnement », sous « Variables utilisateur pour %user% », cliquez sur « Nouveau... ».
Variables utilisateur pour %user%, cliquez sur Nouveau...

4. Dans la fenêtre « Nouvelle variable utilisateur » entrez:
SSLKEYLOGFILE
Nom variable: Valeur variable: % USERPROFILE %\Desktop\sslkey.log
Nom variable: SSLKEYLOGFILE , Valeur variable: % USERPROFILE %\Desktop\sslkey.log

5. Cliquez OK pour accepter l’entrée « Nouvelle variable utilisateur » et OK pour accepter et fermer la nouvelle fenêtre « Variable environnement ».

6. Lancez Wireshark et démarrez la capture de paquets.

7. Lancez Chrome ou Firefox, et vérifiez que le fichier sslkey.log est créé.
Lancez Chrome ou Firefox et vérifiez que le fichier .log sslkey est créé.

8. Parcourez le site Web ou l’application Web qui est testé et exécutez toutes les actions qui doivent être capturées. 

Dans notre exemple, nous téléchargeons le fichier de test de logiciels malveillants à partir EICAR du site sécurisé. 
Exemple : Téléchargez EICAR le fichier de test à partir de leur site sécurisé (https).

9. Vérifiez que la capture du paquet pour l’activité a été correctement collectée et arrêtez la capture.
Capture cryptée collectée.

10. Dans Wireshark aller à [ Modifier > préférences > protocoles > TLS ]. Sous (Pré)-Master-Secret nom de fichier journal, sélectionnez le fichier sslkey.log créé à l’étape 7, et cliquez sur OK .
Ajouter sslkey.log au (Pré)-Master-Secret sous les TLS préférences du protocole.

11. La capture de paquets décryptée s’affiche dans Wireshark.
La capture décryptée est présentée.

12. (Facultatif) Suivez le HTTP flux pour visualiser le contenu décrypté.
Suivez stream HTTP décrypté.


Additional Information


Il n’existe actuellement aucun moyen d’exporter les captures de paquets déchiffrées de Wireshark PCAP en format, cependant, il existe trois options:
  • Partagez le PCAP fichier avec son fichier sslkey.log correspondant au destinataire prévu.
  • PDU Exportation des données décryptées :
Pour exporter les PDU décryptés, passez à File > Export PDU 's to File > Layer OSI 4, ou OSI Layer 7.
Enregistrez la sortie résultante dans un PCAPNG fichier.
  • Suivez le flux HTTP décrypté (étape 12), sélectionnez « Afficher et enregistrer les données comme »: ASCII , puis sélectionnez « Enregistrer comme ... ». Cela permettra d’enregistrer la sortie de flux imprimé dans un fichier texte clair.

 


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HB8gCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language